시스코, ‘서비스 파괴(DeOS)’ 공격 증가 경고

시스코시스템즈는 최근 보안 위협 동향과 해결책을 담은 ‘2017 중기 사이버보안 보고서(Cisco 2017 Midyear Cybersecurity Report)’를 31일 발표했다.

보고서를 통해 시스코는 빠르게 진화하는 사이버 위협을 분석하고, 시스템과 데이터 복구에 필수인 기업의 백업 및 안전망(safety net)까지 파괴하는 ‘서비스 파괴(DeOS?Destruction of Service)’ 공격에 대해 경고했다. 또한 사물인터넷(IoT) 등장으로 주요 산업에서 온라인 운영이 늘면서 공격 범위와 규모, 영향력 역시 커지고 있음을 지적했다.

워너크라이(WannaCry), 네티야(Nyetya)와 같은 최근 사이버 공격은 기존 랜섬웨어처럼 보이지만 훨씬 파괴적이고 확산 속도가 빠르며 광범위한 영향력을 보여준다. 시스코가 서비스 파괴 공격으로 규정하는 이 같은 공격은 기업에게 많은 피해를 입히고 복구를 힘들게 만든다.

IoT는 사이버 범죄자에게 새로운 기회를 제공하며 IoT 보안 취약성은 파괴력이 큰 공격을 수행하는 데 중심 역할을 한다. 최근 IoT 봇넷 활동의 경우, 공격자가 인터넷 자체를 파괴하는 광범위한 사이버 위협을 감행할 수 있음을 시사한다.

이 같은 공격에 대비해 보안 프랙티스(practice) 효과를 측정하는 일은 매우 중요하다. 시스코는 위협 침해와 탐지 사이의 시간을 나타내는 ‘탐지 시간(TTD?Time-To-Detection)’이 얼마나 단축되고 있는지 진행 과정을 추적하고 있다. 탐지 시간 단축은 공격자의 활동 영역을 제한하고 침입 피해를 최소화하는 데 큰 역할을 한다. 시스코는 2015년 11월부터 2017년 5월까지 위협 탐지 시간 중앙값을 39시간 이상에서 약 3.5시간으로 대폭 단축했다. 이 수치는 사전 동의 후 전세계에 구축된 시스코 보안 제품으로부터 원격 측정해 수집한 정보를 기반으로 한다.

시스코 보안 연구원들은 2017년 상반기 멀웨어의 진화를 관찰하는 한편, 공격자가 어떻게 전달(delivery)하고 난독화(obfuscation)하며 회피 기법을 조정하는지 등의 변화를 확인했다. 공격자는 피해자가 링크를 클릭하거나 파일을 열어 위협 요소를 활성화하도록 유도했다. 또한 공격자는 파일 없는(fileless) 멀웨어를 개발하고 있다. 이는 메모리에 상주하고 기기가 재부팅될 때 삭제되므로 탐지나 조사가 더욱 어렵다. 이 밖에 명령 제어(C&C) 활동을 숨기기 위해 토르(Tor) 프록시 서비스와 같은 익명의 분산 인프라를 이용한다.

시스코는 익스플로잇 키트(exploit kit)가 눈에 띄게 줄어든 반면 전통적 공격 방식이 부활하고 있음을 확인했다.

시스코는 스팸 발생량의 증가를 경고했다. 공격자가 이메일처럼 검증된 방법을 이용해 멀웨어를 배포하고 수익을 창출하고 있기 때문이다. 시스코는 악성 첨부 파일을 동반한 스팸은 익스플로잇 키트 환경이 끊임 없이 바뀌는 동안에도 계속 늘어날 것으로 전망했다.

스파이웨어(spyware)와 애드웨어(adware)는 지속적으로 기업에 위험을 가하는 멀웨어 형태다. 시스코가 4개월 동안 300개 기업을 조사한 결과 잘 알려진 3개 스파이웨어 군이 표본 기업의 20%를 감염시킨 것으로 나타났다. 스파이웨어는 사용자와 기업 정보를 훔치고 기기에 대한 보안 태세를 약화시키며 멀웨어 감염을 증가시킨다.

서비스형 랜섬웨어의 성장과 같이 진화하는 랜섬웨어로 인해 사이버 범죄자는 공격을 더욱 쉽게 진행할 수 있다. 기업을 속여 공격자에게 돈을 이체하도록 설계된 사회 공학적 송금 유도 이메일 사기(BEC?Business Email Compromise)는 수익성이 높은 공격이다. 인터넷범죄신고센터에 따르면 2013년 10월부터 2016년 12월까지 BEC 공격 피해액은 53억 달러에 달한다.

사이버 범죄자들이 공격의 강도와 정교함을 지속적으로 높여감에 기업은 기초적인 사이버 보안 역량을 쌓기도 쉽지 않다. 정보 기술(IT)과 운영 기술(OT)이 IoT에서 융합되면서 기업은 가시성과 복잡성을 해결하기 위해 씨름하고 있다. ‘보안 역량 벤치마크 연구’의 하나로 13개국 3천명에 이르는 보안 책임자를 시스코가 조사한 결과, 모든 산업의 보안 부서에서 공격 규모가 감당하기 힘든 수준이라 답했다. 이는 많은 기업의 보안 활동이 사후 대응(reactive)에 머무르는 결과를 가져오고 있다.

기업의 3분의 2만이 보안 경고(security alert)를 조사하고 있는 것으로 확인됐다. 의료?운송과 같은 산업은 그 비율이 50%에 불과하다. 심지어 금융?의료와 같은 대응이 가장 적극적인 산업에서도 기업은 알고 있는 정상적(legitimate)이라고 인지하는 공격의 50% 미만의 수준으로 줄이고 있다.

보고서는 보안 침해는 경각심을 불러 일으킨다며, 보안 침해 영향으로 대다수 산업에서 기업의 90%가 보통 수준의 보안 개선을 단행했다고 설명했다. 단, 운송과 같은 일부 산업은 그 대응력이 떨어져 80% 정도의 수준이다.

산업별로 공공은 조사 대상 위협 중 32%가 정상적 위협으로 확인됐지만 이 가운데 단 47%만이 복구됐다. 리테일은 작년 한 해 32%가 공격으로 매출이 줄고 약 4분의 1은 고객 또는 비즈니스 기회가 감소했다. 제조는 제조 보안 전문가의 40%는 공식적 보안 전략이 없거나 ISO 27001, NIST 800-53과 같은 표준화된 정보 보안 정책을 따르지 않는다고 밝혔다. 유틸리티 분야 보안 전문가는 자사에 가장 중대한 보안 위험으로 표적 공격(42%), 지능형 지속 위협(APT)(40%)을 꼽았다. 의료 기관의 37 %가 표적 공격이 자사에 높은 보안 위험 요소라고 답했다.

시스코는 점차 정교해지는 공격에 대응하기 위해 기업은 보안 활동에 적극적인 자세를 취해야 한다고 조언했다. 이를 위해 ▲인프라와 애플리케이션을 최신 상태로 유지해 공격자가 공개적으로 알려진 취약점을 이용할 수 없도록 할 것 ▲통합적인 방어를 통해 복잡성을 해결하고 폐쇄적인 투자를 제한할 것 ▲위험?보상?예산 제약에 대해 완전히 파악할 수 있도록 회사 주요 임원을 초기 단계부터 참여시킬 것 ▲명확한 지표를 설정하고 이를 활용해 보안 프랙티스를 검증 및 개선할 것 ▲일반적인 방법과 역할 기반의 교육을 비교해 직원 보안 교육을 검토할 것 ▲방어와 적극적인 대응 간 균형을 유지한다. 보안 통제나 프로세스를 ‘설정하고 잊지 않도록’ 할 것 등을 제안했다.